Mi nombre es Frank Villani. En pocas palabras, mi trabajo es probar lo que aquellos de nosotros en la industria llamamos IOT: ‘el internet de las cosas’ que encapsula todo lo que esté conectado a internet. Esto incluye tu información personal.
Estas cosas van desde Alexa de Amazon y timbres de video, hasta computación en la nube y software para confirmar que sean seguros.
A menudo, hago esto replicando las acciones de un hacker informático malintencionado para buscar contramedidas para proteger un sistema. Mucho de lo que hago es replicar lo que podría suceder y evaluar los riesgos que están involucrados si sucede.
Trabajo para una empresa en Nueva Jersey donde mi trabajo es proteger a la organización, así como sus activos y clientes. No busco ganancias, notoriedad o popularidad. Es más como una búsqueda del tesoro para mí. Al final, si lo hago bien, hice mi trabajo, así que me doy una palmadita en la espalda y sigo adelante.
Los piratas informáticos de ‘sombrero gris’ pueden violar los estándares éticos, pero no tienen ninguna intención maliciosa. Es el hacker de ‘sombrero negro’ el más conocido en televisión y cine.
Estos son los tipos que irrumpen maliciosamente en la seguridad informática para beneficio personal. Quieren arruinar la reputación y robar dinero, como cuando Garmin se vio comprometido recientemente.
Mis días van desde la creación de sistemas para tratar de atrapar a las personas que intentan poner en peligro nuestros sistemas, el parcheo de cumplimiento (el proceso de implementación de actualizaciones de software para ayudar a resolver fallas de seguridad críticas o vulnerabilidades que podrían ser explotadas por los atacantes) y el ‘buceo en la basura’, que se refiere a la recuperación información que podría usarse para llevar a cabo un ataque a una red informática como Post-its con contraseñas escritas en ellas, o el número de tarjeta de crédito de un cliente en un papelito.
También realizo auditorías internas e incluso recupero las computadoras portátiles de la empresa que la gente ha dejado tiradas en la oficina.
Inicialmente, obtuve mi certificación CISA (Auditor certificado de sistemas de información) que debe ser recertificada cada tres años, así como mi Certificación CISM (Administrador certificado de seguridad de la información), un examen de cuatro horas que requirió tres años de trabajo, un año en TI y 8 meses de estudio.
Ambas certificaciones son de ISACA, la Asociación de Control y Auditoría de Sistemas de Información, una asociación global enfocada en el gobierno de TI.
Mis credenciales requieren que cumpla con las leyes o políticas locales y federales como primera prioridad y luego con la política de la empresa. A continuación, voy a obtener una certificación de riesgos.
Antes de trabajar en TI, trabajé en la industria hotelera y minorista. En la década de 1990, los ordenadores estaban empezando a verse en muchas empresas, y como el chico nuevo recién salido de la universidad, yo era el que siempre tenía que lidiar con los problemas tecnológicos, ya que nadie quería lidiar con eso.
Recuerdo que en ese momento trabajaba en el Holiday Inn y me encargaba de preparar nuevas reservas de hotel. Estábamos haciendo la transición de los viejos terminales de pantalla verde a Windows 95. Pasé una buena cantidad de tiempo mostrando a mis colegas mayores cómo usar un mouse.
Antes de siquiera considerar una carrera en TI, tenía 23 años y trabajaba como gerente asistente en Walgreens. Fue entonces cuando descubrí una estafa de contrabando de cigarros en la tienda.
Lo hice analizando al cajero, lo que significa que estaba mirando discretamente por encima de su hombro para obtener información de lo que estaban haciendo.
También revisé las transacciones que estaban falsificando, monitoreé su lenguaje corporal y tomé notas que llevaron a su arresto. El gerente regional de la empresa me otorgó el premio al Empleado del año en prevención de pérdidas.
Más tarde, cuando trabajaba en TI, el sistema de la empresa me alertó de que un contratista que trabajaba para mí estaba visitando sitios pornográficos.
Lo comprobé, mi curiosidad apareció y comencé a investigar. Resulta que esta persona estaba usando uno de mis servidores de prueba para comprar insignias y uniformes del gobierno en Etsy.
Tras una mayor investigación, descubrí que guardaba fotos de puentes y embalses de Nueva York y Nueva Jersey a escondidas dentro de algunas carpetas anidadas y también estaba buscando opciones de alquiler de vehículos. Todo esto fue posterior al 11 de septiembre y terminó siendo deportado por el FBI.
Puedo hackear a alguien en las redes sociales en unos 5 minutos usando la información que comparten. Es una especie de combinación de ingeniería social y forzar cerraduras de la vieja escuela.
Podría publicar en mis redes sociales que tengo un cachorro y necesito algunas ideas para los nombres de los perros y preguntar cómo la gente llama a sus perros. ¿Sabes cuántas personas usan el nombre de su mascota como contraseña y ahora tengo acceso a eso?
Hay muchas formas en que los hacker pueden acceder a tu información personal y causar estragos en tu vida.
Aquí hay algunas tácticas comunes a las que debes estar atento:
Supongamos que estás en la fila del banco y, mientras esperas, decides iniciar sesión en tu aplicación bancaria para verificar tu saldo. Inicias sesión para acceder a tu cuenta bancaria y ves un servidor Wi-Fi con el nombre del banco. Lo usas porque imaginas que su servidor bancario es seguro.
¿Adivina qué? A menos que ese servidor solicite tus credenciales o consentimiento, es probable que sea una trampa. Podría ser yo mismo sentado en mi coche y haber creado un servidor falso usando el nombre de tu banco para ingresar a tu cuenta.
Los hackers se aprovechan de los lugares donde la gente baja la guardia. Una trampa común es colocar un espejo sobre el cajero automático, lo que les permite ver tu número de PIN y acceder a tu cuenta, por lo que siempre busca algo sospechoso antes de ingresar el número.
También es común que los hackers agreguen clonadores de tarjetas en las estaciones de servicio, robando tu información; por lo que para protegerte siempre paga con tarjeta de crédito en lugar de usar una tarjeta de débito.
En la actualidad, las cámaras de los teléfonos pueden hacer zoom desde casi cinco metros de distancia, así que ten cuidado y no dejes tu tarjeta de crédito sobre la mesa del restaurante o en el cajero, donde alguien podría sacar una foto y luego hacer zoom para robar su número.
El mayor error que cometen las personas es sentirse cómodas y mantener las mismas contraseñas durante largos periodos. Realmente deberías cambiar tu contraseña cada 45 días y establecer frases de contraseña porque son más difíciles de piratear.
Además, no uses ninguna aplicación de recordatorio de contraseña porque todas pueden verse comprometidas.
La forma más segura de mantener una lista de tus contraseñas es crear una hoja de cálculo de Excel protegida por contraseña. Solo recuerda no imprimirla porque no sabes en qué manos podría terminar.
Si usas aplicaciones de pago como Venmo, PayPal y Zelle, es importante que sepas cuántos puntos de acceso existen a tu cuenta bancaria.
Enlaza esas aplicaciones a la tarjeta de crédito en lugar de a la cuenta bancaria y luego asegúrate de monitorear regularmente las tarjetas para detectar cualquier actividad fraudulenta.
Todas las aplicaciones, desde Angry Birds hasta TikTok, solicitan a los usuarios que acepten permisos que, en efecto, pueden renunciar a tu derecho a la privacidad en cosas como ubicación, cámara y micrófono.
Ten en cuenta qué permisos estás otorgando y evita grupos de permisos peligrosos como estos, donde esencialmente se está dando autorización para que una empresa consiga acceso a tu paradero, imágenes y conversaciones.
AHORA LEE: Hackers vinculados a Rusia y China están atacando las campañas presidenciales de Biden y Trump, advierte Microsoft
TAMBIÉN LEE: Una serie de vulnerabilidades en Alexa permitió a hackers acceder a grabaciones de voz y datos personales de los usuarios